camTVbulbrouterDVRlockechothermodefault credentials → botnetMirai pattern, still works

IoT biztonság

11 min olvasniBiztonság

Az Internet of Things eszközöket alapértelmezett jelszavakkal szállítják, soha nem kapnak firmware-frissítést, és évekig a hálózaton maradnak, miután a gyártó már nem törődik vele. Ezek a tulajdonságok együttesen létrehozták a legnagyobb botnet-hadseregeket, amelyeket az internet valaha is látott – a Mirait, a Mozit és utódaikat. Az IoT biztonságának története arról szól, hogy a méret és a biztonság hogyan nem találja egymást.

A cikk teljes szövege alább olvasható angol nyelven.

IoT (Internet of Things) security olyan hálózatra csatlakoztatott eszközök védelmét takarja, amelyek nem laptopok, telefonok vagy hagyományos szerverek – kamerák, útválasztók, intelligens hangszórók, termosztátok, ajtócsengők, izzók, babafigyelők, ipari érzékelők. A kategória a 2015-ös néhány százmillió eszközről 2026-ra több mint 25 milliárdra nőtt, és a biztonsági helyzet nem tartott lépést.

Miért egyedülállóan rossz az IoT-biztonság?

Négy strukturális ok:

  • Brazort versenyeznek. ár; a gyártónak nincs költségvetése a biztonsági tervezésre vagy a hosszú távú támogatásra.
  • Alapértelmezett hitelesítő adatok. A legtöbb eszköz admin/admin, admin/password vagy dokumentált, gyártónkénti alapértelmezett beállítással kerül szállításra. Sok felhasználó soha nem változtatja meg azokat.
  • A frissítési mechanizmus hiányzik vagy elromlott. Sok eszköz nem rendelkezik automatikus frissítéssel; néhány olyan frissítéssel rendelkezik, amely kézi letöltést és telepítést igényel; néhány olyan frissítéssel rendelkezik, amelyeket a gyártó 1–2 év elteltével leállít.
  • Alapértelmezés szerint csatlakoztatva. Sok IoT-eszköz kérés nélkül éri el a felhőszolgáltatásokat, amelyek bejövő útvonalakat vagy állandó kimenő kapcsolatokat igényelnek, amelyek megkerülik a NAT 2016-ban az Mirai botnet több százezer IoT-eszközt – elsősorban DVR-eket és IP-kamerákat – veszélyeztetett, és rekordot jelentő DDoS-támadásokban használta őket a Krebs on Security, az OVH és a Dyn DNS-szolgáltató ellen (amely órákig lenyomta a fogyasztói internet felét). telnet/SSH a 23/22-es porton, próbálja ki a gyárilag alapértelmezett felhasználónév/jelszó párok kis listáját, ha sikeres, telepítse a botot. Nem voltak zsákmányok, nulla napok, okos trükkök. A biztonsági rés az volt, hogy "az eszközt admin/admin címmel szállítjuk, és a nyilvános interneten van." Ez önmagában több százezer fertőzésre volt elegendő.

    Mirai forráskódja 2016 végén kiszivárgott nyilvánosan. Több tucat származék – Hajime, Persirai, Reaper, Mozi, IZ1H9 – következett. Ugyanez a támadási minta működik 2026-ban is; csak az eszközcélok és a hitelesítési adatok listái fejlődnek.

    A fő IoT sebezhetőségi osztályok

    • Alapértelmezett vagy merevkódolt hitelesítő adatok. Még mindig a leggyakoribb.
    • X az internetes felületen4PLZ44Ex43ExPLZ. Telnet, SSH, HTTP adminisztrációs panelek bárhonnan elérhetők.
    • Elavult szoftver. A beágyazott Linux disztribúciók évekkel a kernelbiztonsági frissítések után.
    • Memóriasérülési sebezhetőségek. beágyazott C- és C-kód nélkül. kanárik egyes platformokon).
    • INem biztonságos felhőszolgáltatások. Mobilalkalmazások, amelyek hitelesítés nélküli API-kon keresztül kommunikálnak a szállítói felhővel, felfedve más felhasználók eszközeit.
    • Fizikai támadási felületek. titkosított flash, JTAG hibakeresési fejlécek tárolás.

    Az életciklus-probléma

    A 2026-ban vásárolt tipikus biztonsági kamera a következőket tartalmazza:

    • 1–3 év firmware-frissítés a gyártótól (ha van ilyen)
    • A mechanizmus 7 év 7 PLXXXX a hálózaton. hogy figyelmeztesse Önt, ha a frissítések stop

    A frissítések leállása után az eszköz tovább működik, de felhalmozódik a javítatlan sebezhetőségek. A felhasználónak nincs jele, hogy bármi baj van. Az eszköz boldogan veszélyeztetett, és évek óta elérhető az internetről.

    Mit tesznek a szabályozók

    A politikai válasz megkezdődött:

    • EU Cyber Resilience Act (hatályos 2026. évi kiberellenállósági törvény) (hatályos 2026-ban) az EU-ban értékesített csatlakoztatott termékek esetében.
    • UK Termékbiztonsági és távközlési infrastruktúráról szóló törvény, az (2022) tiltja az alapértelmezett hitelesítő eszközöket, és megköveteli a támogatási időszakok közzétételét.
    • California SB-327XPLZ20. jelszavak.
    • FCC Cyber Trust Mark (USA, bevezetése 2024–2026) – önkéntes címkézés a kompatibilis eszközökön.

    A piacra gyakorolt hatás lassú, de látható: a kezdeti E-Link-gyártók véletlenszerűen szállítják az eszközöket (FyTP) jelszavakat és legalább bejelentett frissítési ablakokat.

    Mit tehet felhasználóként?

    • Változtassa meg az alapértelmezett jelszót. Első lépés minden eszközhöz.
    • Kapcsolja ki a felügyeleti interfészek internetes expozícióját. Ha a fényképezőgépnek nem kell kívülről elérhetőnek lennie, ne PLZ1PLZSXXXX-portolja rá a11PLZSXXXXX. network. Külön VLAN/SSID az IoT-eszközökhöz, elszigetelve a laptopoktól és telefonoktól. A legtöbb fogyasztói útválasztó ma már támogatja a vendéghálózatokat; egyesek támogatják a teljes VLAN-szegmentálást.
    • Firmware frissítése. Rendszeres ellenőrzés; sok gyártó nem nyomja le automatikusan.
    • A dokumentált frissítési kötelezettségekkel rendelkező eszközöket részesítse előnyben. Azok a márkák, amelyek támogatási idővonalat tesznek közzé, megbízhatóbbak, mint azok, amelyek nem.
    • Ha lehetséges, vásároljon nagyobb gyártóktól.
    • Ha lehetséges, vásároljon.
    • A $7 nem biztos, hogy kevésbé biztonságos, mint az Amazon00 kamera. Gyűrűs termék. Nem mindig, de átlagosan.
    • Cserélje ki az elhagyott eszközöket. Amikor a frissítések leállnak, az eszközt ki kell kapcsolni, nem szabad tovább futni.

Gyakran ismételt kérdések

Az okosotthon-eszközeim kémkednek utánam?
Némelyik, igen – tervezés szerint. Az intelligens hangszórók figyelik az ébresztő szavakat, és aktiváláskor hangmintákat küldenek a felhőbe. Az intelligens kamerák videót streamelhetnek a felhőtárhelyre. Az adatvédelmi beállítások szolgáltatónként eltérőek; Az Apple, az Amazon és a Google részletes adatvédelmi irányelveket tesz közzé, de a megvalósítás előzményei egyenetlenek. Vásárlás előtt ellenőrizze az eszköz beállításait és az eladó szabályzatát.
Használható az okoseszközöm más webhelyek megtámadására?
Igen, ha kompromittálódik. Egy feltört IoT-eszköz csatlakozik a DDoS-támadásokhoz bérbe adott botnethez. Nem veszi észre a tevékenységet, kivéve, ha esetleg lassú az internet a támadási ablakok alatt. A Mirai minta ma is működik számos fogyasztói eszközzel szemben.
Az IoT-eszközöket külön hálózatra kell helyeznem?
Igen. Sok fogyasztói útválasztó kínál vendéghálózatokat, amelyek megakadályozzák, hogy az IoT-eszközök elérjék a többi LAN-eszközt. Néhányan támogatják a megfelelő VLAN-okat vagy dedikált IoT-szegmenseket. A hálózati szegmentálás korlátozza a károkat, ha egy eszközt feltörnek – megtámadhatja az internetet, de a laptopját nem.
Mennyi ideig kapjanak biztonsági frissítéseket az IoT-eszközök?
Az iparágban bevált gyakorlat legalább az eszköz várható élettartama – 5+ év az olyan termékek esetében, mint a kamerák, 7+ év az útválasztók és a főbb készülékek esetében. A legtöbb eladó jócskán alulmarad. Keressen írásos kötelezettségvállalást a termékleírásokban; a kötelezettségvállalás hiánya sárga zászló.
Biztonságosabb a nyílt forráskódú firmware?
Néha. Az OpenWrt, a Tasmota, a Home Assistant ESPHome hosszú távon támogatott alternatívákat kínál bizonyos eszközkategóriákhoz. A biztonság nagyjából olyan jó, mint az upstream karbantartóké – általában jobb, mint az elhagyott gyártó firmware-je, de nem varázslatos. A kompatibilis hardverek listája megmutatja, hogy mely eszközök támogatják a firmware cseréjét.
Az IoT biztonság magyarázata: Miért csatlakozott az okoskamerája egy botnethez?